En Android kampanj för skadlig kod riktad mot iranska banker har utökat sina möjligheter och införlivat ytterligare undanflyktstaktik för att flyga under radarn.
Det är enligt en ny rapport från Zimperium, som upptäckte mer än 200 skadliga appar associerade med den skadliga operationen, där hotaktören också observerade utföra nätfiskeattacker mot de riktade finansiella institutionerna.
Kampanjen kom först i slutet av juli 2023 när Sophos detaljerade ett kluster av 40 appar för insamling av autentiseringsuppgifter riktade mot kunder hos Bank Mellat, Bank Saderat, Resalat Bank och Central Bank of Iran.
Det primära målet med de falska apparna är att lura offren att ge dem omfattande behörigheter samt att samla in bankuppgifter och kreditkortsuppgifter genom att missbruka Androids tillgänglighetstjänster.
"Motsvarande legitima versioner av de skadliga apparna är tillgängliga på Cafe Bazaar, en iransk Android-marknad, och har miljontals nedladdningar", säger Sophos forskaren Pankaj Kohli då. "De skadliga imitationerna, å andra sidan, var tillgängliga att ladda ner från ett stort antal relativt nya domäner, av vilka hotaktörerna också använde som C2 servrar."
Intressant nog har vissa av dessa domäner också observerats tjäna HTML nätfiskesidor som är utformade för att stjäla referenser från mobilanvändare.
De senaste rönen från Zimperium illustrerar den fortsatta utvecklingen av hotet, inte bara när det gäller en bredare uppsättning riktade banker och appar för cryptocurrency plånbok, utan också med tidigare odokumenterade funktioner som gör det mer potent.
Detta inkluderar användningen av tillgänglighetstjänsten för att ge den ytterligare behörighet att avlyssna SMS meddelanden, förhindra avinstallation och klicka på användargränssnittselement. Vissa varianter av skadlig programvara har också visat sig komma åt en README fil i GitHub arkiv för att extrahera en Base64 kodad version av command-and-control (C2) server och webbadresser för nätfiske.
"Detta tillåter angripare att snabbt reagera på att nätfiskewebbplatser tas ner genom att uppdatera GitHub förvaret, vilket säkerställer att skadliga appar alltid får den senaste aktiva nätfiskewebbplatsen", sa Zimperium forskarna Aazim Yaswant och Vishnu Pratapagiri.
Inga kommentarer:
Skicka en kommentar